Browser

Firefox: Original vs. Forks

Quelle: mozilla.org, Lizenz: CC BY-SA 3.0

Dieser Beitrag wurde am 21. Februar 2018 das letzte Mal aktualisiert.

Mozilla hat mit dem Firefox-Browser in jüngerer Vergangenheit immer wieder Entscheidungen getroffen, die eure Privatsphäre betreffen — und das nicht nur im Positiven. Aber keine Panik, auch für eingefleischte Firefox-Fans gibt es Alternativen: Forks. Aber sind die empfehlenswerter als das Original?

Firefox mit vorinstallierter Spyware?

Im Juli begann Mozilla damit, auf der about:addons-Seite den Datenverkehrsanalyse-Dienst Google Analytics zu verwenden. Nach einem Aufschrei aus der Community wurde die Möglichkeit geschaffen, der Analyse zu entgehen. Dafür müsst ihr aber die Nicht-Verfolgen-Funktion einschalten, die standardmäßig eigentlich nur im privaten Modus aktiviert ist. Im Oktober startete der Testlauf mit dem Cliqz-Add-on, das automatisch bei einigen neuen Nutzern installiert wird. Das Add-On soll eure Surfaktivitäten wie Suchbegriffe und sonstige Texteingaben auswerten. Immerhin könnt ihr Cliqz einfach deaktivieren oder deinstallieren, falls ihr es in eurem Browser findet — das ändert aber das eigentliche Problem an dem Add-On nicht. In beiden Fällen meinten die Entwickler, größten Wert auf die Anonymisierung der anfallenden Daten zu legen, um eure Privatsphäre zu schützen. Da Mozilla nicht offen auf die Veränderungen aufmerksam machte, wird es aber größtenteils als heimliche Spionage wahrgenommen.

Wir meinen: Änderungen, die sich möglicherweise negativ auf die Privatsphäre auswirken, sollten immer das Einverständnis der Nutzer voraussetzen. Das würde sich übrigens mit Mozillas eigenem Manifest decken.

Das Mozilla-Manifest, Punkt 4:
Die Sicherheit und der Schutz der Daten einer Person im Internet sind von grundlegender Bedeutung und dürfen nicht als optional betrachtet werden.

Viele Nutzer sind erzürnt über dieses Verhalten und suchen nach Alternativen. Dass Chrome und Edge wegen ihrere Nähe zu Google bzw. Microsoft nicht empfehlenswert sind, haben wir bereits erklärt. Deswegen werfen wir jetzt einen genaueren Blick auf Firefox und seine Forks.

Das Original

Mozilla veröffentlicht Firefox in zwei Versionen:

  • Firefox
    Der Browser erhält in regelmäßigen Abständen (2-3 Monate) neue Hauptversionen, die stets alle neuen Feature enthalten. Sicherheitsaktualisierungen werden sofort ausgeliefert.
  • Firefox ESR
    Der “Extended Support Release” ist eine ältere Version von Firefox, die regelmäßig mit Sicherheitsaktualisierungen versorgt wird. Ein Blick in Mozillas Release-Kalender schafft Klarheit. Die aktuelle ESR-Version basiert auf Firefox 52, die seit März 2017 erhältlich ist und voraussichtlich im März 2018 auf Basis von Firefox 59 aktualisiert wird. Diese Version ist speziell für Organisationen wie Firmen und Schulen gedacht, wo statt neuen Funktionen Stabilität im Vordergrund steht. Selbstverständlich werden auch hier Sicherheitsaktualisierungen sofort ausgeliefert.

Eine Alternative zum Original-Firefox stellen seine Forks dar. Diese basieren auf einer der beiden genannten Versionen, sind aber zusätzlich von ihren Entwicklern angepasst worden. Doch wie steht es hier mit Sicherheitsaktualisierungen? Zum Veröffentlichungszeitpunkt unserer ersten Einschätzung war das aktuellste Update, Quantum 57.0.2 bzw. ESR 52.5.2, vom 7. Dezember. Es schloss unter anderem zwei kritische Schwachstellen. Bei unserer erneuten Blick, etwa zwei Monate später, sind inzwischen weitere Sicherheitsaktualisierungen erschienen. Die aktuellen Versionen Firefox 58.0.2 bzw. ESR 52.6.0 sind eine wichtige Referenz dafür, wie sicher die Forks sind.

Firefox Forks

In der folgenden Übersicht werfen wir einen Blick auf Browser, die damit werben privatsphärefreundliche Verbesserungen vorgenommen zu haben.

Cyberfox

OS: Windows, Linux

Cyberfox basiert auf Firefox ESR und wartet mit verschiedenen Verbesserungen auf. Komponenten, die Nutzerdaten sammeln (bspw. Telemetrie), wurden entfernt und einige zusätzliche Optionen wie “WebRTC deaktivieren” können direkt über die Einstellungen gesetzt werden. Außerdem werdet ihr schon bei der Download-Übersicht mit verschiedensten Optionen überrascht. Es gibt jeweils eine Version für Intel und AMD-Prozessoren, 32 und 64-Bit-Architekturen und sowohl fest installierbare als auch portable Versionen ohne Installation.

Dezember 2017: Cyberfox ist auf dem neuesten Stand.

Februar 2018: Cyberfox konnte mit regelmäßigen zeitnahen Aktualisierungen aufwarten. Die aktuelle Cyberfox Version 52.6.1 basiert auf Firefox ESR 52.6.0, ist damit aktuell.

Waterfox

OS: Windows, Linux, Mac, Android

Waterfox basiert aktuell auf Firefox 56, enthält aber die Aktualisierungen von Firefox 57. Die nächste Version soll auf Firefox ESR basieren. Der Fork wurde ursprünglich entwickelt, um eine 64-Bit-Variante von Firefox bereitzustellen, da Mozilla damals nur 32-Bit-Versionen entwickelte. Deswegen ist Waterfox mit Ausnahme der Android-Version auch nur als 64-Bit-Version verfügbar. Der Entwickler legt Wert auf eure Privatsphäre und entfernt viele Anti-Features aus dem ursprünglichen Code.

Dezember 2017: Waterfox 56.0 wurde bereits am 30. November veröffentlicht, deswegen kann er die neuesten Sicherheitsaktualisierungen vom Dezember noch nicht enthalten. Die Android-Version (55.2) ist sogar noch älter und damit durch noch mehr Schwachstellen verwundbar.

Februar 2018: Waterfox 56.0.4 bleibt mit  seiner Versionsnummer weiterhin unter Firefox Quantum, trotzdem haben die Entwickler die aktuellsten Sicherheitsaktualisierungen implementiert. Die Android Version wurde noch immer nicht aktualisiert und ist deswegen nicht zu empfehlen.

IceCat

OS: Linux, Android

IceCat ist ein von der Free Software Foundation (FSF) entwickelter, komplett freier Fork basierend auf Firefox ESR. Der Browser ist für Linux und Android verfügbar. Schon alleine der Fokus auf freie Software ist vorteilhaft für eure Privatsphäre, aber darüber hinaus bietet der Browser auch zusätzliche Features wie vorinstallierte Privatsphäre-Add-Ons und nutzt standardmäßig DuckDuckGo als Suchmaschine.

Dezember 2017: Leider ist die Eis-Katze etwas tiefgefroren, was die Sicherheitsaktualisierungen betrifft. Für den Desktop ist aktuell Version 52.3.0, für Android 52.4.1 erhältlich und damit verwundbar.

Februar 2018: Hier hat sich leider nichts getan. GNU IceCat sollte auf keinen Fall verwendet werden.

Fennec F-Droid

OS: Android

Dieser Browser ist nur über F-Droid erhältlich und basiert auf Firefox. Er enthält keine proprietären Bestandteile und erhält regelmäßig und zeitnah Sicherheitsaktualisierungen.

Dezember 2017: Die letzte Aktualisierung war am 7. Dezember auf Version 57.0.1. Damit ist Fennec verwundbar. Unserer Erfahrung nach bietet F-Droid für Fennec in der Regel zeitnahe Aktualisierungen, deswegen gehen wir davon aus, dass Version 57.0.2 bald nachgereicht wird.

Februar 2018: Unsere Annahme hat sich leider nicht bestätigt. F-Droid übersprang 57.0.2 und lieferte stattdessen am 26.01.2018 Version 57.0.4 aus. Drei Tage zuvor am 23.01. gab es bei Mozilla schon Version 58.0, das Sicherheits-, Leistungs- und allgemeine Probleme löste. Seitdem gab es keine weiteren Aktualisierungen für Fennec. Ein Blick ins F-Droid-Wiki verrät den Grund: Probleme mit dem Buildserver. Damit bleibt Fennec weiterhin eine sicherheitskritische Aktualisierung hinter dem offiziellen Release zurück.

Tor Browser, Orfox

OS: Windows, Linux, Mac, Android

Auch der Tor Browser und sein mobiler Ableger Orfox basieren auf Firefox ESR. Die Browser sind speziell auf die Verwendung mit dem Anonymisierungsnetzwerk angepasst.  Die Desktop-Version wurde am 9. Dezember aktualisiert und enthält somit die neuesten Sicherheitsaktualisierungen. Die mobile Version ist allerdings noch bei Version 52.2.0 und somit verwundbar.

Dezember 2017: Die Desktop-Version wurde am 9. Dezember aktualisiert und enthält somit die neuesten Sicherheitsaktualisierungen. Die mobile Version ist allerdings noch bei Version 52.2.0 (von August) und somit verwundbar.

Februar 2018: Der Tor Browser für den Desktop kann weiterhin mit seiner Aktualität überzeugen, allerdings ist seine mobile Variante Orfox noch immer auf dem Stand von August 2017.

Zusammenfassung

Desktop:
Der Tor Browser ist weiterhin die Nummer 1 unter den Forks. Durch seine Sonderstellung als Anonymisierungswerkzeug werden viele Features direkt für ihn entwickelt. Über das Tor-Uplift-Projekt profitiert davon mittlerweile auch der Original-Firefox. Der Privatsphäre-Aspekt hat aber seinen Preis: Ihr solltet unter anderem keine zusätzlichen Add-ons installieren und die Fenstergröße nicht ändern.

Cyberfox und Waterfox haben sich in Sachen Aktualität als empfehlenswert erwiesen. Beide versenden standardmäßig keine Nutzerdaten, haben aber durch das Entfernen einiger Komponenten möglicherweise nicht den gewohnten Funktionsumfang. Einem Test steht aus unserer Sicht nichts entgegen.

Mobil:
Für euer Smartphone ist Fennec unter den genannten Forks noch am aktuellsten, enthält aber weiterhin den Telemetrie-Dienst, der euer Nutzverhalten an Mozilla sendet, sofern ihr ihn nicht deaktiviert. Da nützt es auch nichts, dass Fennec keine proprietären Bestandteile haben soll. Wir sehen deswegen keinen Grund nicht direkt das Original zu verwenden. Vor allem angesichts der F-Droid-Buildserver-Probleme scheinen seine Vorteile klar zu überwiegen. Allerdings könnt ihr ihn nicht einfach bei F-Droid herunterladen, stattdessen könnt ihr auf den FFUpdater zurückgreifen.

Empfehlung

Wenn ihr Wert auf Sicherheit und Privatsphäre legt, steckt ihr möglicherweise in einem Dilemma. Der Original-Firefox erhält zwar stets die neuesten Sicherheitsaktualisierungen, ihr müsst aber gegebenenfalls für mehr Datenschutz händisch nachbessern. Ein Fork kann euch vielleicht in Sachen Datenschutz überzeugen, aber erhält möglicherweise erst viel später sicherheitskritische Aktualisierungen. Darüber hinaus können sich weitere Sicherheitslücken auftun, je nachdem welche Veränderungen die Entwickler am Original-Code vorgenommen haben.

Kritische Sicherheitslücken können einem Angreifer im schlimmsten Fall ermöglichen, euren gesamten Rechner zu übernehmen. Das wäre nicht nur privatsphäretechnisch ein Super-GAU.

Sicherheit und Datenschutz sind hier untrennbar verflochten, deswegen empfehlen wir weiterhin die Verwendung des Originals. Solltet ihr euch trotzdem für einen Fork entscheiden, achtet immer darauf, dass euer Browser noch auf dem neuesten Stand bleibt.

2 Kommentare





    • Thorsten

      Hi Dinah. Pale Moon basierte zwar auf Firefox, wurde aber schon ab Version 12 eigenständig und von Firefox unabhängig weiterentwickelt. Es ist heute als eigenständiges Projekt zu sehen. Trotzdem ist der Browser natürlich eine mögliche Alternative. Ich habe Pale Moon und noch ein paar ähnliche Projekte im Blick. Vielleicht werde ich diese in naher Zukunft mal näher beleuchten. Danke für den Hinweis.

Kommentare sind geschlossen

CC-BY-NC-SA
Alle Texte auf Datenschutzhelden.org stehen, sofern nicht anders publiziert, unter Creative Commons Attribution 4.0 International License.